Les experts de Kaspersky Lab ont récemment découvert une technique sournoise permettant aux fraudeurs de voler vos données personnelles, sans qu’ils aient besoin de votre nom d’utilisateur et de votre mot de passe. Les cybercriminels n’essaient donc pas de voler les identifiants de la victime – ils agissent d’une autre manière beaucoup plus intelligente.
Les victimes reçoivent un mail dans lequel il leur est demandé de suivre un lien les renvoyant sur un site Web officiel. Il leur est ensuite demandé de saisir un nouveau mot de passe afin que leur compte ne soit pas bloqué. La chose étonnante est que le lien mène sur le site Web du développeur – comme le site Web de Windows Live par exemple.
Une fois cette étape réalisée, la victime reçoit une demande d’autorisation concernant plusieurs permissions d’une application inconnue telles que la connexion automatique, l’accès aux informations du profil, la liste des contacts, puis la liste des adresses mail. Par conséquent, le fait d’accorder ces droits donne automatiquement l’accès à nos informations personnelles aux cybercriminels.
Par la suite, des individus rassemblent secrètement ces informations à des fins frauduleuses. Ils peuvent, en effet, utiliser vos informations afin d’envoyer du courrier indésirable ou bien des liens menant à des sites d’hameçonnage ou à des sites malveillants.
Comment ça marche ?
Il existe un protocole d’autorisation, très utile mais pas totalement sécurisé, appelé OAuth. Celui-ci permet aux utilisateurs de donner un accès limité à leurs ressources protégées (liste de contacts, agenda et autres informations personnelles) sans partager leurs identifiants. Le protocole est généralement utilisé par les applications des réseaux sociaux ayant besoin, par exemple, d’avoir accès à la liste des contacts de l’utilisateur.
Mais le fait que les applications pour réseaux sociaux utilisent OAuth, ne signifie pas pour autant que votre compte Facebook est sécurisé. Une application malveillante peut utiliser l’accès au compte de l’utilisateur afin d’envoyer du courrier indésirable et des fichiers malveillants, ainsi que des liens d’hameçonnage.
Nos 7 conseils pour éviter de tomber dans le piège du #phishing sur #Facebook.. http://t.co/bIDBsxMVLi pic.twitter.com/d8XW90ZSkO
— Kaspersky France (@kasperskyfrance) April 7, 2015
Cela fait un an que les fuites d’ OAuth ont été révélées. Au début de l’année 2014, un étudiant de Singapour nous a décrit les différentes techniques possibles pour voler les données d’un utilisateur après identification. Cependant, c’est la première fois qu’une campagne d’hameçonnage est utilisée pour mettre en pratique ces techniques.
Que devez-vous faire pour rester protégé :
- Ne cliquez pas sur les liens reçus par mail ou par message privé sur les réseaux sociaux ;
- Ne permettez pas aux applications auxquelles vous ne faites pas confiance d’accéder à vos données ;
- Avant d’accepter à quoi que ce soit, lisez attentivement les descriptions des droits d’accès de compte demandés par l’application ;
- Lisez les commentaires et évaluations des utilisateurs concernant l’application sur Internet;
- Vous pouvez aussi visualiser et annuler les demandes de permission des applications installées dans les paramètres du compte/profil de n’importe quel réseau social ou service Web. Enfin nous vous recommandons fortement que cette liste de permission soit la plus courte possible.